Qué son los bots de vaciado (Sweeping Bots)

Los bots de vaciado son programas automatizados que monitorean la actividad en la blockchain para “vaciar” de inmediato los activos de una dirección objetivo en cuanto los fondos estén disponibles. En el contexto de la seguridad cripto, suelen ser utilizados por atacantes que ya tienen la clave privada de una víctima o una aprobación potente de tokens. Estos bots aprovechan la velocidad, la automatización y la visibilidad del mempool para drenar fondos antes de que la víctima tenga oportunidad de reaccionar.

En este artículo explicamos cómo funcionan los sweeping bots, por qué son tan efectivos, qué patrones de ataque debes reconocer y qué medidas prácticas puedes tomar para protegerte.

Cómo funcionan los sweeping bots

• Monitoreo del mempool: En blockchains públicas como Ethereum, las transacciones pendientes se almacenan temporalmente en un mempool público antes de ser incluidas en un bloque. Los atacantes ejecutan bots que observan transacciones de financiación a carteras comprometidas o aprobaciones que permiten gastar tokens. Si detectan una actividad que pueden explotar, envían inmediatamente una transacción competidora con tarifas más altas para adelantarse a la transacción de la víctima. Más información sobre el mempool y las transacciones en la documentación de Ethereum.

• Manipulación de tarifas y gas (EIP‑1559): Desde la implementación del EIP‑1559, las transacciones incluyen una “tarifa prioritaria” para motivar a los constructores de bloques. Los bots ajustan dinámicamente estas tarifas para superar ofertas honestas o incluso agrupan transacciones privadas para asegurarse la inclusión. Resumen del EIP‑1559.

• Técnicas MEV: Parte del comportamiento de estos bots se asemeja a las estrategias conocidas como "Maximal Extractable Value" (MEV), donde los bots reordenan, insertan o reemplazan transacciones para capturar valor. No todo el MEV es malicioso, pero los bots de vaciado operados por atacantes usan tácticas similares: adelantan transacciones de aprobación o financiación y compiten contra la víctima. Más información sobre MEV y Flashbots.

En resumen, si un bot tiene cualquier vía para gastar desde tu dirección—ya sea tu clave privada, una aprobación ilimitada de tokens o una firma válida—vigilará cualquier entrada de valor y lo retirará al instante.

Vectores de ataque comunes usados por los sweeping bots

• Claves privadas y frases semilla comprometidas: Si se filtra una clave privada o una semilla, la dirección queda expuesta. Cualquier depósito posterior probablemente será vaciado en segundos.

• Aprobaciones tóxicas en tokens ERC‑20 y NFTs:

  • Permisos ilimitados: Muchas apps DeFi solicitan aprobaciones “infinitas”, lo que permite a un tercero mover cualquier cantidad de tu token sin más consentimiento. Los atacantes apuntan a estas aprobaciones, engañándote para que autorices contratos maliciosos o reutilices permisos antiguos.
  • setApprovalForAll en NFTs: Una sola firma puede autorizar a un marketplace malicioso a transferir todos tus NFTs.
  • Firmas "Permit" (EIP‑2612): Firmas fuera de la cadena pueden otorgar permisos de gasto. Sitios maliciosos podrían solicitarte una "firma permit" que aparenta ser inocua, pero que otorga acceso futuro. EIP‑2612.

• Phishing y drainer-as-a-service: Algunos atacantes despliegan dApps falsas o te envían tokens por airdrop que requieren que firmes una transacción comprometedora. También pueden inducirte a importar una semilla en una wallet insegura, tras lo cual un bot comenzará a vigilar esa dirección. Para reducir el riesgo, consulta esta guía sobre phishing de CISA.

• Envenenamiento de direcciones (address poisoning): Atacantes envían transacciones de valor cero desde direcciones que imitan otras, contaminando tu historial. Más adelante podrías copiar la dirección equivocada, redirigiendo fondos al atacante. Esto no permite un vaciado directo, pero suele ser parte de robos por distracción. Más información sobre front‑running en cripto.

Por qué son tan efectivos los sweeping bots

• Velocidad: Están activos las 24 horas, enviando transacciones de inmediato con tarifas agresivas.
• Visibilidad: El mempool público y los estados de aprobación son fácilmente accesibles.
• Automatización: Los atacantes mantienen listas de direcciones comprometidas y las vacían sistemáticamente a través de múltiples cadenas.
• Acceso repetido: Una sola aprobación maliciosa o clave filtrada les brinda acceso continuo y reutilizable.

Tendencias clave en 2025

• Ordenes privadas y RPCs de protección: Usuarios y wallets exploran el uso de relays privados para enviar transacciones fuera del mempool público, reduciendo el riesgo de front‑running. Pero los atacantes también pueden utilizar estos canales. Si necesitas hacer un “rescate”, es clave entender cómo funcionan estas herramientas. Flashbots docs.

• Abstracción de cuentas y controles de gasto: Wallets inteligentes con ERC‑4337 permiten implementar límites diarios, claves temporales y permisos granulares que reducen el riesgo de vaciado, incluso si un dispositivo es comprometido. Resumen de ERC‑4337.

• Nuevos esquemas de firma: Mecanismos como el propuesto EIP‑7702 buscan mejorar la seguridad y funcionalidad de las cuentas. Mantente atento a cómo los nuevos estándares alteran la forma en que funcionan las aprobaciones y firmas, y ajusta tus hábitos de seguridad. EIP‑7702.

Cómo protegerte

• Minimiza las aprobaciones

  • Da preferencia a aprobaciones limitadas (solo lo necesario) en lugar de permisos ilimitados.
  • Revisa y revoca aprobaciones sospechosas frecuentemente:
    • Utiliza el Revisor de Aprobaciones de Etherscan.
    • Revoca permisos en múltiples cadenas con herramientas como revoke.cash.

• Firma con precaución

  • Lee cuidadosamente los detalles del permiso y del contrato antes de firmar.
  • Evita firmar mensajes “permit” si no confías plenamente en la dApp y no entiendes el vencimiento, nonce y destinatario.
  • Desactiva la firma ciega siempre que sea posible para revisar los datos del contrato.

• Usa orden de envío privado si es necesario

  • Si debes mover fondos desde una dirección potencialmente comprometida, usa RPCs protegidos o relays privados para que el mempool público no vea la transacción antes de su inclusión. Documentación de Flashbots.

• Separa tus fondos por nivel de riesgo

  • Mantén los fondos a largo plazo y los activos DeFi activos en direcciones diferentes.
  • Considera wallets inteligentes con límites diarios o políticas de control. Resumen de ERC‑4337.

• Defiéndete del phishing

  • Verifica URLs, contratos y permisos antes de firmar.
  • Usa extensiones de seguridad y listas de sitios de confianza. Nunca importes una semilla en una app desconocida. Consulta las pautas de phishing de CISA.

Qué hacer si ya estás comprometido

Si sospechas que un bot está observando tu dirección:

• No envíes fondos directamente a esa cartera: Si envías fondos a una dirección vigilada, probablemente serán vaciados al instante.
• Usa transacciones privadas: Si puedes, usa relays privados o bundles para enviar el depósito y la salida en una sola transacción atómica sin exponerla al mempool. Esto requiere herramientas avanzadas o ayuda profesional. Docs de Flashbots.
• Revoca primero las aprobaciones: Si la amenaza viene de una aprobación y no de una clave filtrada, revoca el permiso usando un canal privado. Luego podrás mover los fondos con mayor seguridad. Usa Token Approval Checker y Revoke.cash.
• Migra a una nueva dirección: Genera una nueva wallet, comprueba tu entorno, y mueve los fondos solo cuando estés seguro de que no queda ninguna firma o aprobación comprometida.

¿Todos los sweeping bots son “maliciosos”?

No todos los bots que compiten por incluir transacciones son dañinos. Muchos bots MEV realizan arbitraje o liquidaciones beneficiosas que mantienen la eficiencia del mercado. Lo que distingue a los bots atacantes es que se aprovechan de claves robadas o aprobaciones abusivas para gastar tus fondos sin consentimiento. Las mismas herramientas técnicas—como el monitoreo del mempool o el manejo de tarifas—pueden usarse de forma legítima o fraudulenta. La clave está en controlar quién puede gastar desde tu dirección, no solo quién puede ver tus transacciones.

Nota sobre las wallets de hardware

Las wallets de hardware reducen tu exposición al mantener las claves privadas offline y exigir confirmaciones físicas para acciones críticas. Si usas una wallet como OneKey, obtienes las siguientes ventajas:

• Almacenamiento offline y firmas claras: La información de la transacción, incluidos el contrato y los permisos, se muestran para que puedas detectar aprobaciones peligrosas.
• Software abierto y soporte multichain: Puedes gestionar aprobaciones de ERC‑20 y permisos de NFTs en diferentes cadenas, manteniendo una buena “higiene de aprobaciones”.
• Configuración segura y frases de paso: Incluso si tu computadora está comprometida, el atacante no podrá robar claves si el dispositivo está correctamente configurado.

Los bots de vaciado dependen de claves comprometidas y aprobaciones imprudentes. Usar un firmante seguro y revisar cuidadosamente lo que apruebas reduce dramáticamente el riesgo de que un bot pueda gastar tus activos. Si estás buscando reforzar tu seguridad, considera añadir una wallet de hardware como OneKey a tu configuración y haz del control de aprobaciones parte de tu rutina.

Conclusiones clave

• Los sweeping bots vacían fondos de direcciones comprometidas o con permisos excesivos mediante el uso de visibilidad del mempool y tarifas agresivas. Consulta transacciones y gas en Ethereum y EIP‑1559.
• Los riesgos más comunes son claves filtradas, aprobaciones ilimitadas, firmas permit y phishing. Revoca y audita tus permisos con frecuencia. Usa Token Approval Checker y Revoke.cash.
• Las soluciones como orden privado y wallets con abstracción de cuentas están en auge en 2025, ofreciendo mejor protección y controles de gasto. Consulta Flashbots docs y ERC‑4337 overview.
• Las wallets de hardware como OneKey, junto a una gestión cuidadosa de firmas y aprobaciones, brindan una defensa eficaz contra bots de vaciado en tus operaciones cripto cotidianas.